什么是 Bearer Token?

Bearer Token 是 HTTP 认证中使用的一种访问令牌类型,客户端出示令牌以访问受保护的资源。术语 'bearer' 意味着持有令牌的任何一方都可以使用它来访问资源,而无需额外的身份证明。

快速了解

全称Bearer 认证令牌
创建时间2012 年(RFC 6750)
规范文档官方规范

Bearer Token 工作原理

Bearer 令牌通常用于 OAuth 2.0 认证流程。它们通常在 HTTP Authorization 头中以 'Bearer <token>' 格式发送。令牌本身通常是 JWT(JSON Web Token)或不透明字符串。Bearer 令牌是无状态的,意味着服务器不需要存储会话信息。然而,由于任何持有令牌的人都可以使用它,因此必须通过 HTTPS 安全传输并安全存储。令牌通常有过期时间,可以被授权服务器撤销。

主要特点

  • 在 Authorization 头中以 'Bearer <token>' 发送
  • 通常与 OAuth 2.0 一起使用
  • 令牌持有者有访问权限(无需额外证明)
  • 通常是 JWT 或不透明字符串格式
  • 无状态认证机制
  • 必须通过 HTTPS 传输

常见用途

  1. API 认证
  2. OAuth 2.0 访问令牌
  3. 单点登录(SSO)系统
  4. 移动应用认证
  5. 微服务授权

示例

带 Bearer Token 的 HTTP 请求:

GET /api/user/profile HTTP/1.1
Host: api.example.com
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...
Content-Type: application/json

QubitTool 相关工具

JWT Generator

Generate and decode JSON Web Tokens (JWT) online for free

相关概念

JWTOAuthAPI